本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從公開預覽遷移到一般可用性
如果您在公開預覽期間使用 AWS DevOps 代理程式,您必須在 GA 發行之前更新您的 IAM 角色。本指南會逐步解說更新 帳戶中的監控角色和運算子角色。
## 正在變更的內容
1. [無法再存取預覽期間的隨需聊天歷史記錄](#on-demand-chat-history-from-public-preview)
1. [新的 受管政策取代預覽期間可用的政策](#new-managed-policies)
1. [Agent Spaces 可能有過時的 IAM Identity Center 應用程式存取範圍](#reconnect-iam-identity-center-if-applicable)
## 來自公開預覽的隨需聊天歷史記錄
GA 版本引進額外的安全措施,以強化聊天歷史記錄的存取控制。由於這些變更,來自公開預覽期間 (2026 年 3 月 30 日之前) 的隨需聊天歷史記錄將無法再存取。在公開預覽期間建立的調查日誌和調查結果不受影響。**此變更僅適用於隨需聊天對話。**
## 新的 受管政策
對於 GA, AWS 提供取代預覽時代政策的新受管政策:
| 角色類型 | 移除 | 加 |
| --- | --- | --- |
| 監控 | AIOpsAssistantPolicy 受管政策 | AIDevOpsAgentAccessPolicy 受管政策 |
| 運算子 (IAM 和 IDC) | 內嵌政策 | AIDevOpsOperatorAppAccessPolicy 受管政策 |
此外,運算子角色需要更新的信任政策,而 IDC 運算子角色需要新的內嵌政策。
### 先決條件
+ 存取已設定 DevOps 代理程式角色 AWS 的帳戶 (主要和所有次要帳戶)
+ 修改角色、政策和信任關係的 IAM 許可
+ 您的客服人員空間 ID、 AWS 帳戶 ID 和區域 (DevOps Agent 主控台中可見)
### 步驟 1:更新監控角色
更新主要帳戶中和每個次要帳戶中的監控角色。這些是在您的客服人員空間**的功能**索引標籤下設定的主要/次要來源角色 (範例主要/次要角色:`DevOpsAgentRole-AgentSpace-3xj2396z`)。
1. 在 DevOps Agent 主控台中,前往您的 Agent Space,然後選擇**功能**索引標籤。
1. 尋找主要/次要來源的監控角色 (例如 `DevOpsAgentRole-AgentSpace-3xj2396z`),然後選擇**編輯**。
1. 在**許可政策**下,移除 `AIOpsAssistantPolicy` AWS 受管政策。
1. 選擇**新增許可**、**連接政策**,以及連接`AIDevOpsAgentAccessPolicy`受管政策。
1. 編輯內嵌政策,並以下列內容取代其內容,以取代您的帳戶 ID:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam:::role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
1. 監控角色的信任政策不需要變更。驗證是否符合下列各項:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/*"
}
}
}
]
}
```
+ 為每個次要帳戶中的監控角色重複步驟 2-6。
### 步驟 2:更新運算子角色 (IAM)
1. 在 DevOps Agent 主控台中,選擇**存取**索引標籤並尋找運算子角色。
1. 在 IAM 主控台中,從運算子角色移除現有的內嵌政策。
1. 選擇**新增許可**、**連接政策**,以及連接`AIDevOpsOperatorAppAccessPolicy`受管政策。
1. 選擇**信任關係**索引標籤,然後選擇**編輯信任政策**。將信任政策取代為下列項目,取代您的帳戶 ID、區域和客服人員空間 ID:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
}
]
}
```
### 步驟 3:更新運算子角色 (IDC)
如果您使用 IAM Identity Center 搭配 DevOps Agent,請更新每個 IDC 運算子角色。
1. 在 IAM 主控台中,前往**角色**並搜尋 `WebappIDC`以尋找您的 DevOps 代理程式 IDC 角色 (例如 `DevOpsAgentRole-WebappIDC-`)。
1. 對於每個 IDC 角色:
a. 移除現有的內嵌政策。
b. 選擇**新增許可**、**連接政策**,以及連接`AIDevOpsOperatorAppAccessPolicy`受管政策。
c. 選擇**信任關係**索引標籤,然後選擇**編輯信任政策**。將信任政策取代為下列項目,取代您的帳戶 ID、區域和客服人員空間 ID:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
}
}
},
{
"Sid": "TrustedIdentityPropagation",
"Effect": "Allow",
"Principal": {
"Service": "aidevops.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:aidevops:::agentspace/"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": [
"arn:aws:iam::aws:contextProvider/IdentityCenter"
]
},
"Null": {
"sts:RequestContextProviders": "false"
}
}
}
]
}
```
d. 使用下列許可建立新的內嵌政策,以取代您的帳戶 ID:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDevOpsAgentSSOAccess",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:DescribeInstance"
],
"Resource": "*"
},
{
"Sid": "AllowDevOpsAgentIDCUserAccess",
"Effect": "Allow",
"Action": "identitystore:DescribeUser",
"Resource": [
"arn:aws:identitystore:::identitystore/*",
"arn:aws:identitystore:::user/*"
]
}
]
}
```
## 重新連線 IAM Identity Center (如適用)
在公開預覽期間建立的 代理程式空間,可能有已設定過時存取範圍的 IAM Identity Center 應用程式。對於 GA,正確的範圍為 **`aidevops:read_write`**。如果您的 IAM Identity Center 應用程式有先前的範圍 (**`awsaidevops:read_write`**),您必須中斷連線並重新連線 IAM Identity Center。
### 如何檢查您的 IAM Identity Center 應用程式範圍
執行下列 AWS CLI 命令來檢查 IAM Identity Center 應用程式上的範圍。您可以在應用程式下的 IAM Identity Center 主控台中找到**應用程式** ARN。
```
aws sso-admin list-application-access-scopes \
--application-arn arn:aws:sso:::application//
```
輸出應會顯示正確的範圍 **`aidevops:read_write`**:
```
{
"Scopes": [
{
"Scope": "aidevops:read_write"
}
]
}
```
如果範圍顯示 **`awsaidevops:read_write`**,則會過期。請依照下列步驟進行更新。
### 如何重新連線 IAM Identity Center
AWS 受管 IAM Identity Center 應用程式的存取範圍無法直接更新。您必須中斷連線並重新連線:
1. 在 AWS DevOps 代理程式主控台中,前往您的代理程式空間,然後選擇**存取**索引標籤。
1. 選擇 IAM Identity Center 組態旁的**中斷**連線。
1. 確認中斷連線。
1. 選擇**連線**以再次設定 IAM Identity Center。服務會以正確的範圍建立新的 IAM Identity Center 應用程式。
1. 在 IAM Identity Center 主控台中將使用者和群組重新指派給新應用程式。
**重要**
中斷連線會移除與 IAM Identity Center 使用者帳戶相關聯的個別使用者聊天和成品歷史記錄。重新連線後,使用者將需要再次登入。
## 驗證
完成所有步驟後:
1. 返回 DevOps Agent 主控台,並確認 Agent Space **Access** 索引標籤上沒有出現許可錯誤。
1. 測試 運算子 Web 應用程式,以確認其正確載入和運作。
1. 如果您使用 IDC,請確認使用者可以驗證和存取運算子體驗。
## 疑難排解
**遷移後許可遭拒錯誤**
+ 確認 `AIOpsAssistantPolicy` 已移除`AIDevOpsAgentAccessPolicy`並連接至監控角色。
+ 確認舊的內嵌政策已移除`AIDevOpsOperatorAppAccessPolicy`並連接至運算子角色。
+ 檢查運算子信任政策是否包含 `sts:TagSession`。
+ 確認您已將所有預留位置值 (``、``、``) 取代為實際值。
**次要帳戶無法運作**
+ 每個次要帳戶的監控角色都必須獨立更新。登入每個帳戶並重複步驟 1。
**IDC 身分驗證失敗**
+ 驗證 IDC 信任政策同時包含 `sts:AssumeRole`/`sts:TagSession` 陳述式和 `TrustedIdentityPropagation`陳述式。
+ 使用 `sso:ListInstances`、 `sso:DescribeInstance`和 確認內嵌政策`identitystore:DescribeUser`已建立。
**遷移後缺少隨需聊天歷史記錄**
+ 在 GA 發行之後,無法存取來自公開預覽期間的隨需聊天歷史記錄。這是由於 GA 中引入的增強型安全措施而預期的行為。來自公開預覽的調查日誌和調查結果不受影響。